Inglorious Astar

Kit de survie en cas d'infection par un ransomware

Vos fichiers sont chiffrés, on vous demande une rançon ? Voici quoi faire

Public cible :
Sysadmin
-
Temps de lecture :
15
min

Si vous êtes sur cette page, il est possible que vous soyez en train de vivre une attaque de ransomware en direct et que ce soit la panique dans vote réseau. Si c’est votre cas, ignorez toutes les parties en bleu :

Elles servent à donner des explications complémentaires qui vous feront perdre du temps si vous êtes dans l’urgence

Mise à jour du 2022-10-24 : l'ANSSI a publié un guide traitant du même sujet. Il va moins loin dans les détails mais ça reste une référence.

Vos machines sont en train d'être chiffrées, que faire ?

Ransomware, rançongiciel, cryptolocker, cryptovirus, … on n’a pas la même passion mais on a le même maillot. Quelque soit le nom que vous lui connaissez, si des postes ne peuvent plus accéder à leurs fichiers et que le fond d'écran à changé ou qu’il y a plein de fichiers readme.txt vous demandant de payer une rançon, c’est que c’est ça.

Il y a deux difficultés quand on subit une telle attaque: savoir quoi faire et savoir dans quel ordre le faire.

C’est souvent dans ces moments qu’on constate la vertu d’avoir préparé une fiche réflexe en cas d’attaque virale, car dans le feu de l’action, on a beaucoup plus de mal à réfléchir avec bon sens

La stratégie de réponse est la suivante :

  • Confiner
  • Collecter
  • Eradiquer
  • Restaurer

Pour garder les idées claires, il est vivement conseillé de tenir à jour une main courante pendant toute cette crise afin d'y tracer toutes les actions effectuées. Ce sera utile pour éviter les doublons et surtout pour résorber les modifications apportées. Ce serait bête que la main courante se fasse chiffrer, donc utilisez un poste déconnecté du réseau ou privilégiez un format papier.

Confiner

Avant toute chose il faut que le ransomware arrête de se propager. Vous ne pourrez pas forcément appliquer toutes les mesures décrites ci-dessous mais essayez d’en faire le plus possible. Elles sont triées de la plus urgente à la moins urgente :

Mettre vos sauvegardes à l’abri

Il ne faut surtout pas que les sauvegardes soient chiffrées. Si vous n’avez pas de copie hors ligne de vos sauvegardes, débranchez le serveur de sauvegarde du réseau tout de suite une. Mais s’il est sur un ESX avec d’autres VM, ça restera risqué. Vous pouvez aussi retirer les disques de sauvegarde de la baie de disques. Si vous utilisez un NAS pour la sauvegarde, débranchez le du réseau et eteignez-le électriquement (au cas où il soit en train de se faire chiffrer).

Hors sujet utile: à cette étape, si c’est une chose facile et rapide pour vous, activez le logging complet sur votre firewall (toutes les trames avec autant de détail que possible). Ce sera d’une grande valeur dans les étapes futures.

Il s’agit en fait d’une mesure de collecte mais elle est plus utile si elle est menée dès les premiers instants. Le jeu en vaut la chandelle, il est possible de récupérer les clés de déchiffrement de cette manière.

Communiquer

Ce que vous devez redouter, maintenant, c’est d’avoir des départs de feu un peu partout dans le réseau. Envoyez une communication générale disant qu’il y a une infection en cours et donnez les consignes suivantes à tout le personnel :

  • Ne pas ouvrir de mail jusqu'à nouvel ordre (au minimum ne pas ouvrir de pièce jointe ni cliquer sur un lien dans un courriel)
  • Si leur machine ne semble pas infectée, qu’ils la déconnectent du réseau et qu’ils coupent le Wifi jusqu'à nouvel ordre (ils ne doivent pas utiliser un partage de connexion avec leur portable non plus)
  • Qu’ils ne connectent aucun media amovible à leurs machines (clé USB, smartphone, etc.)
  • Si leur machine est infectée, qu’ils préviennent l’IT
Dans 90% des cas l’infection provient d’un courriel de hameçonnage qui a été ouvert par un employé. Il ne faut surtout pas que d’autres employés ouvrent le courriel en question et tombent aussi dans le piège. Sinon votre confinement ne marchera pas, vous aurez sans arrêt de nouvelles machines infectées.

Restreindre les privilèges utilisateurs

A l’heure qu’il est, on ne sait pas encore comment le ransomware se propage, il faut bloquer les moyens les plus courants.

90% des infections virales d’ampleur ne sont pas possibles si l’utilisateur n’a pas de privilèges d’administration.
  • Retirez les droits d’administration locale de tous les utilisateurs (ils ne doivent plus être admin de leur poste)
  • Désactivez tous les comptes Admin built-in (s’ils sont partagés par plusieurs machines, le ransomware utilise peut être ce vecteur)
  • Retirez tous les droits de connexion à distance aux utilisateurs (SMB, RDS, RPC, …) si vous le pouvez

Faire un VLan de confinement

Créez un nouveau VLan qui n’a pas accès à Internet et qui ne peut commniquer avec aucun autre VLan mais qui peut être joint depuis le VLan des admins (vous). Les accès de ce VLan se règlent préférablement au niveau firewall, ne comptez pas que sur la configuration des switchs. Mettez toutes les machines dont vous savez qu’elles sont infectées dans ce VLan.

Le but est que les machines ne puissent plus tenter de se répandre en RDP, SMB, VNC, etc. vers d’autres machines encore saines. Mais il faut que vous puissiez encore vous y connecter, d’où le fait d’autoriser les connexions entrantes. Le VLan de confinement ne doit pas pouvoir se connecter à Internet. Ainsi, si le ransomware ne peut pas contacter son C&C, il peut devenir moins virulent. Si vous lisez ces lignes sans être sous une attaque, c’est également une bonne idée de créer ce VLan de façon préventive. C’est du temps gagné le jour où vous subissez une infection.

Débrancher les machines infectées du réseau

Si vous n’avez pas moyen de mettre des VLan et si vous avez un accès physique aux machines touchées, débranchez les câbles ethernet. 

Coupez aussi vos points d’accès Wifi.

Couper le Wifi sur les postes ne serait pas efficace car le ransomware pourrait probablement le réactiver

Si vous constatez qu'une machine est en train de se faire chiffrer, mettez la en veille prolongée immédiatement (ou éteignez la si le système ne dispose pas de mise en veille prolongée).

La mise en veille prolongée sauvegarde l'état de la RAM. Or on pourrait retrouver les clés secrètes de déchiffrement dans cette RAM, donc c'est utile. Si on éteint complètement la machine, la RAM est purgée.

Restreindre les résolutions DNS à une whitelist

Si vous pouvez vous le permettre, faites-le. ça peut couper des accès légitimes dans votre réseau mais, hé, c’est la crise ! Et par contre ça peut être une mesure très puissante. N’autorisez les résolutions DNS que pour le top 1 million Alexa ranking.

Pourquoi faire ça ? Le ransomware dialogue très probablement avec son Command & Control avant de se lancer (notamment pour lui envoyer la clé de chiffrement). Généralement, seule une partie du ransomware est sur votre PC et il télécharge la partie vraiment malveillante depuis le C&C plus tard. Souvent, le C&C est un domaine malveillant créé juste pour l’occasion, c’est plus pratique que de contacter une IP fixe. Si le ransomware ne peut pas contacter ce domaine, il y a des chances qu’il reste dormant le temps de retrouver un accès (et donc qu’il ne chiffre rien en attendant). Utiliser une blacklist ne marcherait pas, le malware utilise probablement un domaine enregistré juste pour l’occasion et qui ne fait partie d’encore aucune blacklist. Utilisez bien une whitelist. Ceci contribuera à bloquer les exfiltrations de données via DNS tunneling également.

Voici un guide pour procéder: https://www.netcraftsmen.com/use-dns-whitelists-to-stop-malware-in-its-tracks/. Par contre ça ne peut marcher que si vous avez aussi interdit les requêtes DNS directes (qui ne passent pas par votre propre service): https://www.doyler.net/security-not-included/pfsense-block-dns-requests-no-malware

Si vous avez la chance de lire ces lignes sans être en pleine attaque, vous pouvez mettre en place cette mesure dès maintenant, ce ne sera probablement pas trop impactant pour votre réseau et ça peut prévenir des attaques futures.

Restreindre l’accès à Internet à une liste blanche de domaines pour l’ensemble de votre réseau

Dans la même idée, restreignez aussi les flux HTTP/HTTPS au top 1 million Alexa ranking.

Des fois ce sera une manip à faire au niveau de votre proxy, d’autres fois au niveau de votre Firewall. Je ne vais pas faire un “How to” pour chaque marque, donc je me contenterais de donner la procédure pour pfsense (firewall standard): https://turbofuture.com/internet/URL-Filtering-How-To-Configure-SquidGuard-in-pfSense

Pourquoi faire ça ? Il se peut que le ransomware ait déjà résolu le domaine de son C&C et qu’il dialogue désormais avec lui en HTTP ou HTTPS. C’est toujours bon de l’en empêcher (notamment en cas d’exfiltration de données). Il se peut aussi que le ransomware dialogue avec une IP en dur directement (old school mais ça existe encore) sans passer par le DNS. Ce sera alors la seule façon de le bloquer

Whitelister les process Windows

Si vous disposez d’OS Windows 10 dans votre parc, sachez qu’ils possèdent normalement une option permettant de limiter la modification des fichiers à une liste d’applications de confiance. C’est une façon assez simple de calmer l’infection. La procédure ici: https://forums.cnetfrance.fr/topic/1387561-windows-10--comment-activer-la-protection-contre-les-ransomware/

Pour tout ce qui est plus vieux que Windows 10, vous pouvez whitelister les process au niveau du domaine: https://www.bleepingcomputer.com/tutorials/create-an-application-whitelist-policy-in-windows/

Cela n’arretera pas tous les ransomware, notamment si certains exploitent des vulnérabilités dans des outils légitimes (liseuses PDF, navigateur, WinZIP, etc.), mais pour ceux qui seront concernés, ça va les couper net. En revanche l’impact fonctionnel peut être très important pour le travail quotidien de vos employés. Vous aurez peut être la “chance” de prendre un ransomware le weekend comme c’est le plus souvent le cas, ça limite les impacts sur les salariés

Inspecter les courriels

Dans 90% des cas, l’infection vient d’un courriel de hameçonnage. Vous avez déjà prévenu les employés de ne pas ouvrir les emails, mais il ne faut pas compter la dessus trop longtemps.

Notamment s’ils voient votre communication après le mail malveillant.

Inspectez les logs de votre serveur de messagerie et recherchez le mail malveillant. Commencez par tous les messages ayant des pièces jointes, puis ceux contenant des liens HTTP/HTTPS.

Si vous n’avez pas de SPF, il se peut que le courriel ait utilisé une de vos adresses email en tant qu'émetteur. Ne vous fiez donc pas uniquement à celle-ci (vérifiez si l’adresse IP d’envoi est cohérente).

Quand vous avez trouvé le fautif, sauvegardez-en une copie (ça servira lors de la partie forensique) et supprimez-le du serveur et des boites de réception des utilisateurs : https://docs.microsoft.com/en-us/office365/securitycompliance/search-for-and-delete-messages-in-your-organization

A partir de là, vous pouvez communiquer à vos utilisateurs que la messagerie est de nouveau utilisable.

Collecter

Vous devez maintenant vous trouver dans un état où plus aucune nouvelle machine n’est infectée.

Il est temps de collecter les données qui permettront, avec une dose variable de chance, de faciliter la restauration.

Demander de l’aide

Cette partie va commencer à être technique et à mobiliser des compétences que vous n’avez pas forcément en interne. C’est le moment de mobiliser l’aide à disposition.

  • Si vous êtes un organisme public, appelez l’ANSSI.
  • Sinon appelez votre éditeur d’antivirus, après tout, son programme n’a pas super bien marché, il vous en doit une.
  • Sinon appelez une boite de sécurité (comme celle de votre serviteur) ou votre prestataire SI de confiance habituel

Et c'est aussi déjà le moment d'aller porter plainte à la police/gendarmerie et de faire la notification de violation auprès de la CNIL.
En effet il y a des délais. Vous avez 72 heures pour notifier la CNIL d'une violation de données personnelles (si le pirate a pu chiffrer les données, c'est qu'il a pu y accéder et les a très probablement aussi volées).
Porter plainte tôt (en moins de 48 heures) vous donne aussi la possibilité de bloquer les éventuels transfers de fond qu'il y a pu avoir (arnaque au président, substitution de RIB, etc.).

Normalement vous devriez être mis en relation avec les services spécialisés des gendarmes/policiers. Mais ce n'est pas toujours le cas, notamment dans les petits commissariats où ils ne connaissent pas eux-mêmes l'existence de ces services. Dans ce cas là, demandez explicitement :

  • Le service SDLC (Sous-Direction en charge de la Lutte contre la Cybercriminalité) pour la police avec les ICC (Investigateurs en CyberCriminalité) comme interlocuteurs
  • Le service Ntech pour la gendarmerie avec les C-Ntech (Correspondants en technologies numériques) ou P-Ntech (Premier intervenant en technologies numériques) comme interlocuteurs

La plainte et la notification à la CNIL sont nécessaires pour plusieurs raisons :

  • Si jamais le pirate a utilisé votre réseau comme relais de ses attaques, ça vous protège si on porte plainte contre vous
  • Si jamais le pirate revend des données qu'il a exfiltré de chez vous, ça vous protège des amendes
  • Si jamais vous devez payer la rançon, ça vous protège d'être accusé de financement du terrorisme (il faudra prévenir la gendarmerie quand même)
  • C'est nécessaire pour faire jouer votre assurance
  • Si jamais il s'agit d'un ransomware pour lequel les autorités ont récupéré (ou récupéreront) les clés de déchiffrement, vous pourriez retrouver vos données par ce moyen là

Mais surtout, si la Police/Gendarmerie décide de se déplacer pour enquêter, ils feront la collecte de preuves.

Activer les logs de votre firewall

Cette action devrait être réalisée dès le début de la détection de l’attaque pour être la plus performante possible. Le confinement est prioritaire mais ne vous privez pas de le faire tout de suite si vous trouvez 2 minutes.

Activez les logs les plus complets possibles (capture des paquets) sur tous les protocoles sur toutes les interfaces.

Cette phase est importante pour deux raisons principales :
1. il n’est pas exclu que le ransomware dialogue avec son C&C en simple HTTP et que l’on puisse capturer les clés de déchiffrement (avec les Ransomware as a Service c'est optimiste quand même)
2; les analystes forensique pourront utiliser ces captures pour comprendre comment le ransomware fonctionne et ainsi l’identifier sur les autres postes

Faire des dump de la RAM des machines touchées

Utilisez l’outil Winpmem pour faire un dump de la RAM des WindowsVous pouvez tenter de le faire en vous connectant à distance ou en mettant l’outil et ses dépendances sur une clé USB (ou un disque dur externe) et en la connectant aux postes infectés. Mais il faudra veiller à ce que la clé ne se fasse pas chiffrer et éviter de la connecter plus tard sur une machine saine !!

Si vous lisez ces lignes sans être en crise, il est utile d’avoir préparé une telle clé à l’avance pour le jour où vous aurez un cryptolocker. Faites-le maintenant. Une telle clé ne doit jamais servir pour plusieurs attaques différentes sans avoir été salement formatée avant, sinon vous risquez de relancer l’ancien ransomware vu que cette clé aura été connectée à des machines infectées lors de la dernière attaque.

ATTENTION: si vous vous connectez à distance sur une machine infectée, considérez qu’elle pourra connaître votre mot de passe. Ne faites ça que si les machines sont bien dans un VLan de confinement et que votre mot de passe ne leur octroie pas d’accès supplémentaire sur les autres machines de ce VLan.

Des outils comme mimikatz permettent aux ransomware de dumper et parser la mémoire de travail du processus LSASS où les mots de passe de tous les utilisateurs connectés au système sont lisibles.

Quand vous avez généré le dump de la RAM, vous le stockez sur un disque dur externe vierge (QUE VOUS NE CONNECTEREZ JAMAIS A UNE MACHINE WINDOWS SAINE). Il y a un risque, à chaque machine infectée, que le disque se fasse chiffrer aussi lorsque vous le connectez. Soit vous en utilisez plusieurs, soit vous transférez les dumps entre chaque machine.
Pour les transférer, il faut idéalement monter ce disque en mode read-only sur une machine Linux (éventuellemnt via un Live-CD) non connectées à Internet.

Cette phase peut être fastidieuse mais derrière elle offre de vraies chances pour la restauration de vos données. Les experts forensic qui l’analyseront pourront s’en servir pour identifier le processus du ransomware (et donc l'éliminer sur les autres machines). Mais surtout, il y a une chance de retrouver les clés utilisées pour le chiffrement des fichiers par le ransomware (on ne parle pas d’un gros taux de succès mais ça vaut clairement le coup d’essayer). C’est pour cela qu’il ne faut pas éteindre électriquement les machines (la RAM serait perdue). Plus on s’y prend tôt, meilleures sont les chances de succès.

Identifier le Ransomware

Conjointement, il est temps de savoir à quel ransomware l’on a affaire.

Pour identifier votre ransomware, il existe plusieurs sites dédiés : ID-Ransomware et NoMore Ransom.
Vous pouvez également vous référer à ce fichier : https://docs.google.com/spreadsheets/u/1/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

Pour identifier le votre, il faut fournir le fichier de rançon (How_to_decrypt.txt, instructions.html, …) et un de vos fichiers chiffrés (qui aura donc une extension du type .xxx, .lock, .encrypt, …).

Les ransomware sont maintenant packagés et vendus en mode Ransomware As A Service sur le Dark Net. Il se peut donc qu’aucun ne corresponde exactement à votre cas, mais si par exemple vous reconnaissez le texte de rançon, il y a fort à parier qu’il s’agisse de la même souche et que le comportement global soit le même.

Vous pourrez notamment savoir s’il existe un décrypteur, s’il existe des moyens alternatifs de récupération des données (certains ransomware ne chiffrent pas vraiment mais se contentent d’encoder, donc c’est réversible), si le pirate donne réellement la clé si on paye la rançon, etc.

Connaitre le ransomware est primordial. En effet ils n’ont pas tous la même qualité, certains sont même franchement nuls: ils chiffrent tout le temps avec la même clé, ils génèrent une clé basé sur l’horloge de la machine, etc. Si vous avez la “chance” d'être tombé sur un nul, il est probable qu’on puisse récupérer vos fichiers. Les autorités et les éditeurs d’antivirus récupèrent aussi régulièrement des sets de clés de chiffrement. Il se peut donc qu’un décrypteur existe déjà (ou existe bientôt) et permette de retrouver vos données.

Eradiquer

Vous disposez maintenant d’un ransomware sous contrôle (normalement) et de toutes les infos adéquates pour lui faire la peau. Cette phase va donc consister à assainir vos systèmes de la charge malveillante.

Repérer le ransomware

Si vous avez pu avoir une aide en direct de votre éditeur d’antivirus, toutes les collectes que vous avez faites devraient lui permettre de détecter le malware. Au minimum, il devrait faire en sorte que votre antivirus détecte la charge virale en moins de 3 jours.

Si vous ne pouvez pas attendre, il est conseillé de faire appel à des professionnels de l’analyse forensique. Avec ce que vous avez collecté, ils vont pouvoir déterminer des indices de compromission (IoC) associés à ce ransomware :

  • quel est le code de l’exécutable malveillant (est-ce qu’il est fixe ou est-ce qu’il se modifie, …)
  • quel est le nom du processus lancé (aléatoire, fixe, prédictible, …)
  • quelles ressources externes sont contactées (C&C, botnet, …)
  • à quelles ressources fait-il appel pour chiffrer (dll de chiffrement de Windows, suppression de shadow copy, …)
  • comment cherche-t-il à se répandre (escalade de privilège locale, RDP, …)

Une fois que vous disposez de ces IoC, vous pouvez rechercher leur présence sur les systèmes et dans les logs du firewall pour les éradiquer.

Connaître le périmètre réel d’infection

Pour chaque machine qui a été infectée, il faudrait pouvoir analyser les communications qu’elle a eu avec les autres machines (dans le réseau et sur Internet) pour cartographier les potentielles machines infectées et exfiltrations de données.

En effet, à ce stade, il y a deux possibilités. Soit vous avez réussi à confiner parce que toutes vos machines infectées sont déconnectées ou sont dans le VLan de confinement. Soit c’est le fait de couper l’accès DNS et HTTP au C&C qui a mis sur pause l’infection. Et dans ce second cas, vous avez tout un tas de machines sur les starting block qui n’attendent qu’un petit flux ouvert pour vous faire danser sur le rock’n roll du chiffrement.

Rechercher les IoC sur tout le réseau vous donnera une première couverture qui n’est pas ridicule. Mais il se pourrait que le ransomware ait fait autre chose que chiffrer les fichiers: installation de rootkit, de backdoor, exfiltration de données (ce serait bien de savoir si vos secrets industriels sont actuellement sur pastebin), … Notamment sur des machines où il n’a pas chiffré les fichiers (donc vos IoC n’y seront pas détectables).

Malheureusement ici, cela va directement dépendre de votre politique de log: est-ce que vous loggez, est-ce que les logs ont été chiffrés/supprimés, est-ce que vous avez un concentrateur, est-ce que vous avez un SIEM, etc. Et cela demandera aussi des compétences en forensique.

Cela concernera notamment le domaine Windows. Si vous avez eu recours à des experts forensiques chevronnés, ils pourront tenter un audit de la configuration du domaine pour y trouver des traces de modifications malicieuses. Dans le cas contraire, il sera judicieux de restaurer l’AD à une date antérieure (même s’il n’a pas été chiffré).

Penser aux mots de passe

Les machines infectées c’est une chose, mais il y a des données aussi sur ces machines, dont les mots de passe en RAM.

Considérez que les mots de passe des comptes (locaux ou domaine) en cache sur les machines compromises sont perdus. Vous pouvez connaitre les comptes en cache sur une machine à l’aide de l’outil cachedump: https://github.com/Neohapsis/creddump7

Assurez vous aussi qu’il n’y a pas un fichier mots_de_passe.xlsx qui trainait sur le bureau d’une des machines. Les chances que le ransomware soit programmés pour les extraire sont faibles mais non nulles.

Dès lors, il vous faut vérifier si ces mots de passe ne permettent pas des accès autre part (VPN, outil SaaS, extranet, …). Il faudra modifier ces mots de passe au plus vite ou bien bloquer les comptes en attendant.

Eradiquer dans les sauvegardes

La dernière chose que vous voulez c’est qu’après tout ce travail vous restauriez une version déjà infectée d’un poste et que le ransomware se relance.

Maintenant que vous connaissez le nom du fichier malveillant et les éventuels IoC, faites une recherche dans vos sauvegardes et supprimez ces occurrences si elles existent (si votre logiciel de sauvegarde vous le permet évidemment).

Si votre moyen de sauvegarde ne permet pas l’exploration interactive du système de fichier backupé, il faudra restaurer directement et tout de suite lancer le scan antivirus (si votre antivirus détecte maintenant la menace) ou manuellement rechercher et supprimer les fichiers malveillants. Dans ce cas, ne redonnez pas tout de suite l’accès aux données restaurées à tout le monde pour éviter que quelqu’un n’active un fichier malveillant

Restaurer

A cet instant, le ransomware n’est plus censé constituer une menace. Mais nous n’avons pas encore reformaté les systèmes (ils vont encore nous servir) donc il faut rester prudent et ne pas brûler les étapes. Le but principal de cette partie est de récupérer les données perdues.

Analyser les pertes

Il est temps d’aller explorer vos sauvegardes et de juger l’ampleur de la perte.

Dans un premier temps, il est conseillé de restaurer la sauvegarde de vos serveurs de fichiers sur des clones (pour que le serveur initial reste disponible pour investigation).

Créez un fichier qui recense les documents importants perdus malgré la sauvegarde (ceux qui n'étaient pas sauvegardés ou qui ont été modifiés entre l’attaque et le dernier point de sauvegarde). Notez au minimum le nom du document, son extension, la machine où il était et l’emplacement. Si vous le pouvez, demandez une description de son contenu.

En effet les outils de récupération de fichier permettent souvent de retrouver le contenu d’un fichier mais pas son nom. Les experts forensiques devront donc ouvrir chaque document (manuellement ou automatiquement) pour rechercher les contenus pertinents.

Une première piste ne doit pas être négligée: certains des fichiers non sauvegardés pourraient être encore lisibles sur les serveur et postes infectés. Il se peut qu’ils ne fassent pas partie des extensions que le ransomware chiffre ou que ce dernier ait été stoppé avant d’avoir couvert tout le système de fichier.

Retrouver la clé de déchiffrement

Cette étape devrait être menée par des spécialistes en forensique.

Il est possible de retrouver les clés de déchiffrement à plusieurs endroits:

  • Dans les captures réseau que vous avez activées au niveau du firewall
  • Dans les dumps de mémoire que vous avez faits sur les machines infectées
  • Sur les systèmes de fichiers infectés
  • Dans le code malveillant du ransomware (trouvable grâce à l’email malveillant que vous avez sauvegardé avant de le supprimer de toutes les boites de réception)
En analysant le code malveillant, il est parfois possible de comprendre comment les clés ont été générées et de reproduire ce processus s’il n’est pas suffisamment aléatoire (par exemple si la fonction aléatoire utilise l’horloge de la machine).

Il arrive aussi régulièrement que des sociétés de cybersécurité découvrent les clés secrètes de déchiffrement de groupes cybercriminels. Elles publient alors un programme permettant à toutes leurs victimes de déchiffrer leurs fichiers. Cela peut se produire plusieurs semaines, mois ou années après votre infection. Dans le doute gardez une copie des fichiers chiffrés que vous n'avez pas pu récupérer.

Vérifiez sur NoMoreRansom si un déchiffreur existe pour votre cas. Et si ce n'est pas le cas, revenez sur le site plus tard.

Shadow copy

Selon la configuration de vos Windows, il se peut que le Shadow Copy soit activé. Il peut permettre de restaurer vos fichiers locaux à un état antérieur. Cependant, beaucoup de ransomware récents suppriment le Shadow Copy. Le succès n’est donc pas garanti.

C’est tout de même une piste à suivre immanquablement: https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volume-copies/

Outil de récupération de fichiers supprimés

Selon le mécanisme de fonctionnement du ransomware, il se peut que vos fichiers originaux soient toujours écrits sur le disque mais qu’ils ne soient plus accessibles. Utiliser un outil de récupération de fichiers supprimés offre généralement des résultats intéressants (rarement complets mais rarement vides).

Plusieurs outils gratuits existent: https://www.softwarehow.com/free-data-recovery-tools

S’ils ne suffisent pas, vous en trouverez des payants en cherchant data recovey tool sur votre moteur de recherche préféré. Il se peut qu’ils donnent de meilleurs résultats.

Ce que fait un ransomware classiquement c’est qu’il crée une copie chiffrée de votre fichier, puis il supprime l’original. Donc le fichier chiffré ne “remplace” pas le fichier original au sens strict du terme, il s’ ajouté à côté du fichier qu’il supprime. Or l’action de supprimer un fichier sur Windows consiste essentiellement à enlever son nom de la table des fichiers et à déclarer au système que l’emplacement de cet ancien fichier est maintenant disponible pour écrire de nouvelles données. Tant qu’aucun nouveau fichier n’a été écrit à cet emplacement, il se peut tout à fait que les bits du fichier soient toujours en place et donc récupérables. Cependant, il existe des ransomware plus vicieux que d’autres qui se chargent de réécrire sur les bits des fichiers originaux. Les chances de succès ne sont donc pas garanties.

Réinstallation

Bien maintenant que vous avez récupéré ce qui peut l'être, il est temps de restituer du matériel sain aux utilisateurs.

Tous les PC et serveurs infectés doivent être formatés puis réinstallés.
Seulement il existe des manières de se rendre persistant au delà d'un formatage (BIOS malveillant, rootkit, ...). Donc il y aura toujours un doute résiduel. Si vous avez des machines particulièrement sensibles, et qu'elles sont en faible nombre, vous pouvez opter pour une réinstallation sur une machine neuve.

Pour les serveurs en machines virtuelles, on peut les restaurer à une date antérieure à l'attaque. Mais là aussi il y a le risque non nul que l'hyperviseur soit compromis et permette, à posteriori, de réinfecter le SI. Par mesure de précaution, ça vaut le coup de réinstaller l'hyperviseur from scratch et, seulement après, de restaurer les VM.

Qu'il ait été touché ou non, il vaut mieux restaurer une version des contrôleurs de domaine antérieure à l’attaque (si vous en disposez) au cas où le ransomware ait modifié des paramètres pour s’octroyer des accès et des portes dérobées.

Croyez-moi, vous n’avez pas envie d’aller fouiller manuellement pour voir s’il y a des choses atypiques. Lisez quelques articles sur adsecurity.org comme https://adsecurity.org/?p=4056 ou encore https://adsecurity.org/?p=2011 ça devrait vous mettre au clair sur vos chances de détecter manuellement un accès persistant silencieux.

Enfin, reprenez votre main courante, et rétractez toutes les modifications que vous avez mise en place en urgence dans le SI.

Dernière chose

Même si vous avez perdu des données importantes, ne payez pas. De une, la récupération des données n’est pas certaine. De deux, moins les victimes payent, moins il y a d’attaques. Si vous payez la rançon, vous financez l’attaque qui vous touchera demain, tout comme vous venez de subir une attaque parce que d’autres ont payé.

David SORIA
-
2019-04-19

Nos autres articles